Freelancer beschäftigenWas Unternehmen beim Datenschutz beachten müssen

Freelancer können häufig auf personenbezogene Daten des Unternehmens, in dem sie gerade arbeiten, zugreifen. Wie die Verantwortlichkeiten in Sachen Datenschutz vertraglich festgehalten werden, hängt vom Datenschutzstatus des Freelancers ab. Ein Überblick.

Freelancer zu beschäftigen, hat viele Vorteile: Das Unternehmen entrichtet keine Sozialabgaben für sie, Freelancer sind flexibel einsetzbar, oft auf ein bestimmtes Fachgebiet spezialisiert und sie können auch kurzfristig bei Projekten einspringen. Firmen, die mit freien Mitarbeitern kooperieren, können es aber oft nicht vermeiden, personenbezogene Daten mit ihnen zu teilen. An dieser Stelle kommt das Thema Datenschutz ins Spiel: Was müssen die Beteiligten hier beachten? Und vor allem: Wer trägt im Einzelfall die Verantwortung für Datenschutz und sichere Datenverarbeitung?

Freelancer im Sinne des Datenschutzes in Kategorien einteilen

Freelancer sind Mitarbeiter, die einen Teil ihrer Gesamtarbeitszeit in der Firma beschäftigt sind oder für bestimmte Projekte rekrutiert werden. Das sind zum Beispiel Journalisten, Texter, Berater, Programmierer und Grafiker. Freelancer erhalten fast immer eingeschränkten Zugriff auf Unternehmensunterlagen. Aus Datenschutzsicht werden dabei drei Kategorien unterschieden: freie Mitarbeiter,

  • die wie eigene Mitarbeiter eingestuft werden müssen,
  • die als Auftragsverarbeiter fungieren oder
  • gemeinsam mit dem Auftraggeber datenschutzrechtlich Verantwortung übernehmen.

In welche Kategorie der Freelancer einzuordnen ist, hängt von der Beantwortung folgender Fragen ab: Kann der Freelancer eigene Vorteile aus den personenbezogenen Daten ziehen? Und: Führt er seine Aufträge selbstständig oder nach Anweisung aus? Anders formuliert: Welche Macht hat der freie Mitarbeiter über die Daten des jeweiligen Unternehmens? Die faktische Macht, die ein Freelancer über personenbezogene Daten erhält, definiert in der Kooperation seinen datenschutzrechtlichen Status.

Kategorie 1: Freelancer, die wie Festangestellte zu behandeln sind

Freie Mitarbeiter, die über wenig Gestaltungsspielraum verfügen, häufig in die Firma kommen und die Infrastruktur dort nutzen, sollten wie ein eigener Mitarbeiter eingestuft werden. Dies gilt losgelöst vom arbeitsrechtlichen Status, denn Arbeitsrecht und Datenschutz sind zwei Paar Schuhe. Bei Freelancern dieser Art ist das Unternehmen für den Datenschutz verantwortlich, der Selbstständige gilt weder als Auftragsverarbeiter noch als gemeinsam mit dem Auftraggeber für den Datenschutz verantwortlich.

Der Freelancer sollte wie ein Angestellter behandelt werden, regelmäßige Schulungen erhalten und eine Datenschutzerklärung unterschreiben – wie die feste Belegschaft auch.

Kategorie 2: Auftragsverarbeiter im Sinne der DSGVO

Als Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung (DSGVO) gelten Freelancer, die deutlich unabhängiger arbeiten. Sie nutzen beispielsweise ihr eigenes technisches Equipment in ihren eigenen oder angemieteten Räumen. In der Regel unterschreiben Freelancer dieser Kategorie einen Auftragsverarbeitungsvertrag (AVV).

Doch Vorsicht: Der Datenschutzbeauftragte sollte vor der Unterschrift überprüfen, ob dieser Vertrag auch wirklich zur jeweiligen Arbeitsbeziehung passt. Denn der AVV eignet sich nur bedingt für Solo-Selbstständige, weil er Pflichten definiert, die ein Ein-Personen-Unternehmen kaum erfüllen kann. Hinzu kommt, dass in manchen Fällen eine Verantwortung vorliegen kann, die dieser Vertrag nicht erfasst.  

Kategorie 3: Gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit für personenbezogene Daten zählt zu den Neuheiten der DSGVO, die seit dem 25. Mai 2018 zur Anwendung kommt. Die DSGVO besagt in diesem Zusammenhang, dass sich Freelancer und Auftraggeber die Verantwortung für personenbezogene Daten teilen müssen, wenn sowohl der freie Mitarbeiter als auch dessen Auftraggeber (aus dem Blickwinkel des Arbeitsverhältnisses – nicht datenschutzrechtlich) eigene Zwecke verfolgen. Denn Datensätze, die etwa aus einer gemeinsam genutzten Datenbank stammen, können für unterschiedliche Zwecke verwendet werden.

Ein Beispiel: Ein freiberuflicher Marketingmitarbeiter könnte Daten, wie zum Beispiel Adressen von Kunden, für eigene Zwecke verwenden. In diesem Fall reicht ein AVV nicht. Hier müssen beide Parteien die gemeinsame Verantwortlichkeit im Hauptvertrag festhalten. Dort sollte präzise stehen, zu welchen Zwecken bereitgestellte Daten genutzt werden dürfen und zu welchen nicht. Die gemeinsame Verantwortlichkeit ist individuell anpassbar und kann auch für mehr als zwei Vertragsparteien gelten. 

Als reiner Auftragsverarbeiter kann hingegen eine Druckerei gelten, die die Daten nach dem Druck eines Rundschreibens wieder löscht. Hier reicht der Abschluss eines AVV.

Falsche Verträge und ihre Folgen

Fehlerhafte Verträge, in denen der Status des Freelancers nicht festgehalten oder falsch eingeschätzt wird, missachten aus Datenschutzsicht Betroffenenrechte. Es entsteht eine sogenannte Verantwortungsdiffusion, bei der Vorschriften der DSGVO verletzt werden – denn es ist nicht klar geregelt, wer für die Betroffenenrechte Verantwortung übernimmt.

In der Praxis geschieht es häufig, dass zum Beispiel ein AVV unterschrieben wird, obwohl eine Vereinbarung zur gemeinsamen Verantwortung (GVV) zwingend notwendig gewesen wäre.

Fazit

Der Umgang mit personenbezogenen Datensätzen muss stets kritisch hinterfragt werden – auch und gerade bei der Zusammenarbeit mit Freiberuflern. Hier sind Datenminimierung und Datensparsamkeit essenzielle Gebote. Der Datenschutzbeauftragte eines Unternehmens muss den Datenschutzstatus des Freelancers korrekt einschätzen, um einen der Situation angemessenen Vertrag abschließen zu können.  

Dazu im Management-Handbuch

Ähnliche Artikel

Gesundheitstipps